電子商務安全策略探討[內(nèi)容摘要]本文總結了我們國家電子商務發(fā)展及其信息安全的現(xiàn)在狀況，在具體分析了電子商務信息安全的重要威脅因素的基礎上，詳細討論了電子商務安全的技術保障機制。[本文關鍵詞語]電子商務信息安全網(wǎng)絡安全交易安全技術保障電子商務是利用互聯(lián)網(wǎng)絡進行的商務活動。電子商務有多種定義，但內(nèi)涵大致一樣，即電子商務是利用電子數(shù)據(jù)交換、電子郵件、電子資金轉賬等方式及互聯(lián)網(wǎng)的重要技術在個人、企業(yè)和國家之間進行的網(wǎng)上廣告及交易活動，內(nèi)容包含商品及其訂購信息、資金及其支付信息、安全及其認證信息等方面。信息安全是指利用網(wǎng)絡管理控制和技術辦法,防止網(wǎng)絡自己及網(wǎng)上傳輸?shù)男畔a(chǎn)業(yè)被存心故意的或偶爾的非受權泄漏、更改、毀壞,或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)分辨體認、控制。電子商務信息安全的詳細表現(xiàn)有:竊取商業(yè)機密；泄漏商業(yè)機密；改動交易信息，毀壞信息的真實性和完好性；接收或發(fā)送虛假信息，毀壞交易、盜取交易結果;偽造交易信息；非法刪除交易信息；交易信息丟失；病毒毀壞;黑客入侵等。隨著互聯(lián)網(wǎng)的快速擴張和電子商務的迅猛發(fā)展，電子商務系統(tǒng)的安全性已遭到計算機病毒、網(wǎng)絡黑客、計算機系統(tǒng)本身防御性軟弱等方面的嚴峻挑戰(zhàn)。一、我們國家電子商務發(fā)展及其信息安全現(xiàn)在狀況我們國家電子商務始于20上90年代，主導相繼施行的“金橋〞、“金卡〞、“金關〞、“金稅〞工程大大加快了我們國家電子商務的發(fā)展步伐。當前，我們國家電子商務的廣度和深度空前擴展，已經(jīng)深切進入國民經(jīng)濟和日常生活的各個方面。艾瑞市場咨詢公司最新的調查數(shù)據(jù)顯示：截至2006年底，中國網(wǎng)絡購物市場總用戶數(shù)到達4310萬人，b2c和c2c總交易額分別為82億元和230億元。然而，據(jù)中國互聯(lián)網(wǎng)絡信息中心〔cnnic〕的一份最新調研顯示，只要約15%的網(wǎng)民平常有網(wǎng)上購物的習慣，而不選擇網(wǎng)絡購物的原因重要由于對網(wǎng)站不信任、怕受騙，擔憂商品質量問題和售后效勞，質疑其安全性等。電子商務自從誕生之日起，安全問題就像魑魅一樣如影隨形而至，成為制約其進一步發(fā)展的主要瓶頸。電子商務系統(tǒng)的安全是與計算機安全尤其是計算機網(wǎng)絡安全親密相關的，綜合當下電子商務所面臨的網(wǎng)絡安全現(xiàn)在狀況不容樂觀。公安部公布了2006年全國安全調查結果，結果顯示，半數(shù)以上的被調查單位發(fā)生過事件，病毒或木馬程序感染率達84%，當前，全國已有8成左右的單位安裝了防火墻和病毒查殺系統(tǒng)。對數(shù)據(jù)統(tǒng)計分析，2005年5月至2006年5月間，有54％的被調查單位發(fā)生過信息網(wǎng)絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序為84%，遭到端口掃描或網(wǎng)絡攻擊的占36%，垃圾郵件占35%。未修補和防備軟件漏洞仍然是導致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73%。二、電子商務安全威脅的重要方面電子商務的一個主要技術特征是利用it技術來傳輸和處理商業(yè)信息。因而，從整體而言，電子商務安全有計算機網(wǎng)絡安全和商務交易安全兩個方面。計算機網(wǎng)絡安全是商務交易安全的基礎；商務交易安全是電子商務安全的重要內(nèi)容。計算機網(wǎng)絡安全的內(nèi)容重要包含：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全。網(wǎng)絡設備安全是指保衛(wèi)計算機主機硬件和物理線路的安全，保證其本身的可靠性和為系統(tǒng)提供基本安全前提；設備安全風險來自硬件器件與部件失效、老化、損害，天然雷擊、靜電、電磁場干擾等多方面，有人為因素還有天然災禍所引起的故障。例如，2006年12月26日，我們國家臺灣附近海域發(fā)生強烈地震，造成中美海纜等６條國際海底通信光纜發(fā)生中止，使附近國家和地區(qū)的國際和地區(qū)性通信遭到嚴重影響，給有關企業(yè)和個人造成宏大影響和嚴重經(jīng)濟損失。網(wǎng)絡系統(tǒng)安全是指保衛(wèi)用戶計算機、網(wǎng)絡效勞器等網(wǎng)絡資源上的軟件系統(tǒng)能正常工作，網(wǎng)絡通信及其網(wǎng)絡操作能安全、正常完成。網(wǎng)絡系統(tǒng)安全風險來自系統(tǒng)的構造設計缺陷、網(wǎng)絡安全配置缺陷、系統(tǒng)存在的安全漏洞、惡意的網(wǎng)絡攻擊和病毒侵入等多方面。網(wǎng)絡系統(tǒng)安全是計算機網(wǎng)絡安全的重要方面。計算機網(wǎng)絡安全的特征是針對計算機網(wǎng)絡自己可能存在的安全問題，施行網(wǎng)絡安全加強方案，以保證計算機網(wǎng)絡本身的安全性為目的。商務交易安全是指商務活動在公開網(wǎng)絡上進行時的安全，其本質是在計算機網(wǎng)絡安全的基礎上，保障商務經(jīng)過順利進行，即實現(xiàn)電子商務的保密性、完好性、可鑒別性、不可偽造性和不可抵賴性，核心內(nèi)容是電子商務信息的安全。一般情況下，我們能夠把電子商務安全歸結為電子商務信息的安全。當前，電子商務重要存在的安全威脅有：1.身份仿冒攻擊者通過非法手段盜用合法用戶的身份信息，仿冒合法用戶的身份與別人進行交易，進行信息欺詐與信息毀壞，進而獲得非法利益。重要表現(xiàn)有：冒充別人身份、冒充別人消費、栽贓、冒充主機欺騙合法主機及合法用戶、使用欺詐郵件和虛假網(wǎng)頁設計設騙。近年來隨著電子商務、網(wǎng)上結算、網(wǎng)上銀行等業(yè)務在日常生活中的普及，網(wǎng)絡仿冒已經(jīng)成為電子商務應用的重要威脅之一。2.未經(jīng)受權的訪問未經(jīng)受權而不能接入系統(tǒng)的人通過一定手段對認證性進行攻擊，假冒合法人接入系統(tǒng)，實現(xiàn)對文件進行改動、竊取機密信息、非法使用資源等。一般采用偽裝或利用系統(tǒng)的軟弱環(huán)節(jié)〔如繞過檢測控制〕、采集情報〔如口令〕等方式實現(xiàn)。3.效勞回絕攻擊者使合法接入的信息、業(yè)務或其他資源受阻。重要表現(xiàn)為分布虛假資訊，擾亂正常的資訊通道。包含：虛開網(wǎng)站和商店、偽造用戶，對特定計算機大規(guī)模訪問等，使合法用戶不能正常訪問網(wǎng)絡資源，使有嚴格時間要求的效勞不能及時得到響應。4.惡意程序侵入任何系統(tǒng)都可能是有漏洞的，漏洞的存在給惡意程序侵入提供了可乘之機。惡意程序是所有含有特殊目的、非法進入計算機系統(tǒng)、并待機運行，能給系統(tǒng)或者網(wǎng)絡帶來嚴重干擾和毀壞的程序的總稱。一般能夠分為獨立運行類(細菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。惡意程序是網(wǎng)絡安全的主要天敵，具有防不勝防的重大毀壞性。例如：網(wǎng)絡蠕蟲是一種能夠不斷復制自己并在網(wǎng)絡中傳播的程序，蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播，可能導致網(wǎng)絡壅塞，致使網(wǎng)絡癱瘓，使各種基于網(wǎng)絡的電子商務等應用系統(tǒng)失效。5.交易抵賴和修改有些用戶企圖對自己在網(wǎng)絡上發(fā)出的有效交易信息刻意抵賴，安全的電子商務系統(tǒng)應該有辦法避免交易抵賴。為保證交易雙方的商業(yè)利益、維護交易的嚴肅和公正，電子商務的交易文件也應該是不可修改的。6．其他安全威脅電子商務安全威脅種類繁多、來自各種可能的潛在方面，有蓄意而為的，也有無意造成的，例如電子交易衍生了一系列法律問題：網(wǎng)絡交易糾紛的仲裁、網(wǎng)絡交易契約等問題，急需為電子商務提供法律保障。還有諸如非法使用、操作人員失慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同水平后果的威脅。三、電子商務安全的技術保障機制電子商務安全包含網(wǎng)絡安全和交易安全。因而，電子商務安全技術重要有計算機網(wǎng)絡安全技術和商務交易安全技術兩方面的保障機制。1.計算機網(wǎng)絡安全技術網(wǎng)絡安全技術伴隨著網(wǎng)絡的誕生就出現(xiàn)，如今已出現(xiàn)了日新月異的變化。vpn安全隧道、防火墻和網(wǎng)絡入侵自動監(jiān)測等越來越高深復雜的安全技術極大地從不同條理加強了計算機網(wǎng)絡的整體安全性。當前，重要的網(wǎng)絡安全保障技術有：(1)vpn安全隧道，vpn即虛擬專用網(wǎng)(virtualprivatenetwork)，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。vpn架構中采取了多種安全機制,能夠幫助遠程用戶、公司分支機構、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。(2)防火墻技術,防火墻是企業(yè)內(nèi)部網(wǎng)絡和外網(wǎng)之間的一套安全屏障。防火墻能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡的信息流，且自己具有較強的抗攻擊能力。它是提供信息安全效勞，實現(xiàn)網(wǎng)絡和信息安全的基礎設備。(3)病毒防護和入侵檢測技術,病毒防護技術可降低病毒和惡意代碼攻擊風險，并防止有害軟件通過效勞器或網(wǎng)絡履行和傳播。入侵檢測系統(tǒng)則能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，擴展系統(tǒng)管理員的安全管理能力，進而提升信息安全基礎構造的完好性。2.商務交易安全技術商務交易安全是為了實現(xiàn)電子商務的保密性、完好性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務交易經(jīng)過中最核心和最關鍵的安全問題。當前，重要的商務交易安全保障技術有：(1)數(shù)據(jù)加密技術,加密一般是利用密碼算法把可懂的信息變成不可懂的信息。利用各種復雜的加密算法，通過對網(wǎng)絡中傳輸?shù)男畔⑦M行數(shù)據(jù)加密，用很小的代價即可為信息提供相當大的安全保衛(wèi)。(2)數(shù)字簽名技術,數(shù)字簽名是通過密碼算法對數(shù)據(jù)進行加、解密變換實現(xiàn)的。應用廣泛的數(shù)字簽名方法重要有三種，即：rsa簽名、dss簽名和hash簽名。這三種算法可單獨使用，可以綜合在一起使用。在電子商務安全效勞中的源鑒別、完好性效勞、不可否認效勞中，都要用到數(shù)字簽名技術。(3)安全協(xié)議技術,使用set和ssi等安全協(xié)議能有效地保障交易安全。set即安全電子交易〔secureelectronictransaction〕的簡稱，set提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完好可靠性和交易的不可否認性，已成為當前公認的信譽卡/借記卡的網(wǎng)上交易的國際安全標準。ssl即安全套接層〔securesocketslayer〕協(xié)議的簡稱，重要用于提升應用程序之間數(shù)據(jù)的安全系數(shù)。四、結束語電子商務的安全威脅既有來自惡意攻擊、防備疏漏，還可能來自管理松懈、操作忽略等方面。因而，保障電子商務安全是一項綜合工程。除了重要從技術上提升防備和保障機制外，還需要單位完善網(wǎng)絡系統(tǒng)管理體制，人員加強信息安全意識。另外，電子商務理論要求有透明、和諧的交易秩序和環(huán)境保障，為此還需要建立和完善相應的法律體系。以下為參考文獻:[1]王云峰:信息安全技術及策略[j].廣東廣播電視大學學報，2006,(1):101-104[2]殷鳳琴趙喜清王新鋼:我們國家電子商務安全問題的表現(xiàn)來源和對策[j].商場現(xiàn)代化,2007年6月〔上旬刊〕總第505期：9